форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"VPN через NAT"
Сообщение от Minotaur on 08-Авг-03, 10:19  (MSK)
Всем привет. Такая проблема. Есть локальная сеть, где несколько пользователей через NAT "заворачиваются" на реальные адреса. Все прекрасно работает - пакетики ходят, как надо... кроме одной вещи. Один из клиентов не может законнектиться по VPN на удаленный хост. Почему - не могу понять до сих пор. Вот строки из конфигов: ************ /etc/rc.firewall ${fw} add 10030 divert 8668 all from 10.101.4.2 to not ${intranet} ${fw} add 10030 divert 8668 all from not ${intranet} to 195.20.96.108 ************ natd.conf use_sockets same_ports port 8668 alias_address 195.20.96.108 Адрес 195.20.96.108 висит на loopback-интерфейсе. Игра "добавить-убрать" use_sockets и same_ports ничего не дала. Если клиент дозванивается по обычному телефону к любому провайдеру, то все чудесно работает... Помогите советом! Заранее спасибо! З.Ы. Доступа к удаленному хосту у меня, естественно, нет.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "VPN через NAT"
Сообщение от dawnshade on 08-Авг-03, 10:25  (MSK)
Если не ошибаюсь, то нат должен быть  NAT-T по RFC 3193. Только тогда возможна работа по впн
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "VPN через NAT"
	Сообщение от A Clockwork Orange on 08-Авг-03, 12:41  (MSK)
	>Если не ошибаюсь, то нат должен быть  NAT-T по RFC 3193. >Только тогда возможна работа по впн покажи правила фаервола должно быть разрешение по GRE должно быть разрешение на коннект на 1723 сервера VPN хотя это все касательно PPTP
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "VPN через NAT"
	Сообщение от Minotaur on 08-Авг-03, 13:23  (MSK)
	>покажи правила фаервола >должно быть разрешение по GRE >должно быть разрешение на коннект на 1723 сервера VPN >хотя это все касательно PPTP Показываю: ${fw} add 1 allow all from any to any via lo0 ${fw} add 10030 divert 8668 all from 10.101.4.2 to not ${intranet} ${fw} add 10030 divert 8668 all from not ${intranet} to 195.20.96.108 ${fw} add 10052 allow all from any to 10.101.4.2 ${fw} add 10052 allow all from 10.101.4.2 to any ${fw} add 65000 deny all from any to any здесь intranet=10.0.0.1/8 В принипе, все, касающееся машины 10.101.4.2, которая натится на реальный ай-пи. gre поднимается как псевдо-девайс у меня и клиент натится не через lo0 или внешний интерфейс, а именно через gre0? Так, что ли? Если можно, пример настройки, плз... :\
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "VPN через NAT"
	Сообщение от wwwuser on 08-Авг-03, 14:45  (MSK)
	${fw} add 2 pass gre from any to any
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "VPN через NAT"
	Сообщение от Minotaur on 08-Авг-03, 15:41  (MSK)
	>${fw} add 2 pass gre from any to any И что? А девайсы gre0?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "VPN через NAT"
	Сообщение от A Clockwork Orange on 08-Авг-03, 15:06  (MSK)
	10.101.4.2 внутренний узел 195.20.96.108 внешний узел что-то не въеду в правила ${fw} add 1 allow all from any to any via lo0 ${fw} add 10030 divert 8668 all from 10.101.4.2 to not ${intranet} ${fw} add 10030 divert 8668 all from not ${intranet} to 195.20.96.108 Эти два правила, исключительно для внтуреннего инерфейса! ${fw} add 10052 allow all from any to 10.101.4.2 ${fw} add 10052 allow all from 10.101.4.2 to any Ты пропустил все через внутренний интерфейс. а где правила для внешнего интерфейса????! А где что ты пропускаешь через внешний интерфейс ${fw} add 65000 deny all from any to any У тебя вообще машина 10.101.4.2 может в инет выходить?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "VPN через NAT"
	Сообщение от Minotaur on 08-Авг-03, 15:33  (MSK)
	>10.101.4.2 внутренний узел >195.20.96.108 внешний узел >что-то не въеду в правила > >${fw} add 1 allow all from any to any via lo0 >${fw} add 10030 divert 8668 all from 10.101.4.2 to not ${intranet} >${fw} add 10030 divert 8668 all from not ${intranet} to 195.20.96.108 > > >Эти два правила, исключительно для внтуреннего инерфейса! >${fw} add 10052 allow all from any to 10.101.4.2 >${fw} add 10052 allow all from 10.101.4.2 to any >Ты пропустил все через внутренний интерфейс. > >а где правила для внешнего интерфейса????! >А где что ты пропускаешь через внешний интерфейс > >${fw} add 65000 deny all from any to any > >У тебя вообще машина 10.101.4.2 может в инет выходить? ************ ifconfig rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500         inet 10.101.41.254 netmask 0xffffff00 broadcast 10.101.41.255         ether 00:00:1c:d3:7b:da         media: Ethernet autoselect (100baseTX <full-duplex>)         status: active rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500         inet 10.101.4.254 netmask 0xffffff00 broadcast 10.101.4.255         ether 00:00:1c:d3:6c:dc         media: Ethernet autoselect (100baseTX <full-duplex>)         status: active rl2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500         inet 195.20.96.118 netmask 0xfffffffc broadcast 195.20.96.119         ether 00:00:1c:d3:83:8e         media: Ethernet autoselect (10baseT/UTP)         status: active lp0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> mtu 1500 lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384         inet 127.0.0.1 netmask 0xff000000         inet 10.255.41.1 netmask 0xffff0000         inet 10.255.4.1 netmask 0xffff0000         inet 195.20.96.108 netmask 0xffffffff         inet 195.20.96.109 netmask 0xffffffff         inet 195.20.96.110 netmask 0xffffffff машина 10.101.4.2 без проблем выходит в инет и пингует инетовские сервера.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "VPN через NAT"
	Сообщение от A Clockwork Orange on 08-Авг-03, 15:49  (MSK)
	Интересный ты человек. ты показываешь часть правил умалчивая про остальные, а у самого три интерфейса на машин, и что ты хочешь тогда? И о чем нам говорит ifconfig?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "VPN через NAT"
	Сообщение от Minotaur on 08-Авг-03, 19:05  (MSK)
	>Интересный ты человек. ты показываешь часть правил умалчивая про остальные, а у >самого три интерфейса на машин, и что ты хочешь тогда? >И о чем нам говорит ifconfig? Ну и что, что там 3 интерфейса? Давай сделаем allow all from any to any + divert - все равно не работает... Мне показалось, что я достаточно подробно описал проблему... :\
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "VPN через NAT"
	Сообщение от wwwuser on 08-Авг-03, 16:39  (MSK)
	На кой тебе gre девайсы на этой машине, когда нужно просто пропустить пакеты определенного типа ? Нужен собственно только разрешенный транспорт для pptp aka gre-тунель.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "VPN через NAT"
	Сообщение от Minotaur on 08-Авг-03, 19:04  (MSK)
	>На кой тебе gre девайсы на этой машине, когда нужно просто пропустить >пакеты определенного типа ? >Нужен собственно только разрешенный транспорт для pptp aka gre-тунель. УРА! Я рад. :) Что не нужны... Как его сделать - этот транспорт?! gre-туннель и делается через pseudo-device gre... Или я не прав? Либо с помощью программки gre-tunnel. Как ее правильно сконфигурировать? да... А если там не pptp? А l2tp?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "VPN через NAT"
	Сообщение от Minotaur on 09-Авг-03, 11:47  (MSK)
	>Если не ошибаюсь, то нат должен быть  NAT-T по RFC 3193. >Только тогда возможна работа по впн Сутя по всему, что FreeBSD 4.8-STABLE natd не такой... Вопрос: где взять такой?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "VPN через NAT"
	Сообщение от Micle on 09-Авг-03, 15:38  (MSK)
	Если я не ошибаюсь, то такая связка вообще не заработает, так как человек работает с удаленной машиной через NAT. А НАТ делает изменения в пакете, и данный пакет никогда не сможет пройти проверку безопасности на удаленной машине. Можно попробовать по извращаться, но скорее всего данные попытки закончиться  неудачей.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "VPN через NAT"
	Сообщение от Minotaur on 09-Авг-03, 19:26  (MSK)
	>Если я не ошибаюсь, то такая связка вообще не заработает, так как >человек работает с удаленной машиной через NAT. А НАТ делает изменения >в пакете, и данный пакет никогда не сможет пройти проверку безопасности >на удаленной машине. >Можно попробовать по извращаться, но скорее всего данные попытки закончиться  неудачей. > хех... Это я уже понял. Предложения вместо NAT?   User     Server (running NATD) +----------+        VPN Server     * ------------> * -----------| Internet |-----x----> * 10.101.4.2    10.101.4.254       +----------+                         195.20.96.118 Такая вот схема... Как заставить ее работать? Альтернативы NAT, с которыми работает VPN?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "VPN через NAT"
	Сообщение от A Clockwork Orange on 09-Авг-03, 19:56  (MSK)
	Не понятно в чем вопрос pptp работает с сетью с любой стороны, хоть клиент впн находится за нат в локальной сети и коннектится с сервером в инете, хоть клиент находится в инете и коннектится на впн сервер и попадает в локальную сеть
		Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "VPN через NAT"
Сообщение от TiM on 09-Авг-03, 20:10  (MSK)
Через FreeBSD natd пробывал - не получалось подключить Firewall-1 VPN килента, проблемы с IP адресами (как я понял - IP отправительской маишны не равен IP с которой получен пакет). Выход: знакомый ставил клиента на FreeBSD и локально регулировал кому можно выходить, а кому нет. Надеюсь мысль ясна. Удачи!
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "VPN через NAT"
	Сообщение от Илья on 04-Сен-03, 12:34  (MSK)
	>Через FreeBSD natd пробывал - не получалось подключить Firewall-1 VPN килента, проблемы >с IP адресами (как я понял - IP отправительской маишны не >равен IP с которой получен пакет). Выход: знакомый ставил клиента на >FreeBSD и локально регулировал кому можно выходить, а кому нет. Надеюсь >мысль ясна. Удачи! Единственное решение, которое я нашел, прописать в natd.conf: redirect_address <ip1> <ip2> где ip1 - ip windows-машины в локальной сети с сервером vpn, ip2 - внешний ip freebsd-машины, смотрящий в инет правила для файрвола те же, что указывали выше Но при таком варианте, если freebsd является файрволом, то windows-машина оказывается открыта в инет. Илья.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	18. "VPN через NAT"
	Сообщение от Hamza on 09-Окт-03, 18:17  (MSK)
	У меня VPN через NAT так и не пошел. Во FreeBSD я эту проблему так и не решил. В Linux (а точнее в iptables) давно ведутся работы над этим ( http://www.iptables.org/documentation/pomlist/pom-extra.html#pptp-conntrack-nat ) , но до релиза так и не дошло. Также в Linux есть экспериментальный пакет pptpproxy которым я и пользуюсь сейчас. Ради хохмы попробовал его собрать под FreeBSD, естественно не получилось.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.